Professional Documents
Culture Documents
Datos/informacin
[K]
Claves Criptogrficas
[S]
Servicios
[SW]
Aplicaciones
[HW]
HardWare
[COM]
Redes de Comunicaciones
[Media]
Soportes de informacin
[AUX]
Equipamiento Auxiliar
[L]
Instalaciones
[P]
Personal
Por lo que podemos observar, realmente se ha incluido un nuevo Tipo de Activo, K Claves
criptogrficas, y se ha adaptado el nombre de SI a Media para identificar a los Soportes de
Informacin.
Existen otros detalles como el hecho de que el Backup se considera ahora parte de
Datos/Informacin o que se reconozca al personal Administrador de Seguridad. Matices que se
ajustan mejor a la realidad.
Criterios de Valoracin
Realmente se sigue utilizando la misma regla numrica pero ahora existe el lmite de extremo:
Y en esta versin, se han establecido las escalas con nmeros que ayudan a comprender y
utilizar los ratios de valoracin. Este punto, 4.1 Escalas estndar, es uno de las grandes
mejoras. Se agradece poder mantener los criterios de una forma mucho ms clara.
Cambios de Amenazas y Vulnerabilidades
Asociacin de tipo de activos ms actual
Los cambios ms interesantes en MAGERIT se han dado en este aspecto de identificar
Amenazas. En este sentido, en esta versin de MAGERIT de forma mucho ms acorde a la
realidad actual donde existen un sin fin de componentes virtualizados, las amenazas estn
asociadas a los elementos que realmente pueden sufrir este tipo de eventos. Es decir,
actualmente se generan elementos como switches mediante los sistemas de virtualizacin por
lo que se trata de elementos no-fsicos y ahora la asociacin es mucho ms correcta.
Amenazas que afectan a activos especficos
Existen algunos casos en los que las tablas de amenazas identifican un tipo de activo mucho
ms especfico como es el caso de D.log y D.Conf (refiriendose a Datos de logs y Datos de
Configuracin respectivamente).
A.13 Repudio
Amenazas obsoletas, desaparecidas y reapariciones
A lo largo del nuevo listado se identifica una amenaza como obsoleta, la E.7 Deficiencia en la
organizacin. Todava la mantienen por lo que aunque quede obsoleta, deberamos de seguir
utilizndola (no creo que estn muy claras las responsabilidad en muchos casos).
Existe otra obsoleta, la E.14 Escapes de informacin. Pero en este caso recomiendan el uso
de E.19 Fugas de informacin.
Se suman:
Adems, esta documentacin no se encuentra en castellano ni en ingles con los problemas que
ello supone. Agradeceramos las inclusiones en castellano para facilitar la labor.
Resto de Cambios en MAGERIT
Sin examinar el resto del documento en profundidad, se pueden apreciar cambios en el
planteamiento realizado respecto al punto de las Salvaguardas. En este aspecto se ha reducido
y simplificado en exceso para mi gusto ya que simplemente se mencionan las alternativas sin
entrar en ciertos aspectos de detalle que para personal no experto en seguridad TIC, se queda
demasiado resumido.
ISO/IEC 27002:2005.
la informacin
Establecer polticas de seguridad acompaado de un adecuado plan de
divulgacin y sensibilizacin para que todos los niveles de la institucin
(incluida la coordinacin) conozcan los riesgos para la seguridad de la
informacin, tengan muy presente el incremento del riesgo de sufrir cyber-
ataques.
Tener la capacidad de respuesta a incidentes de seguridad de la informacin.
Responder de forma rpida y eficiente a las posibles amenazas, y afrontar de